URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 75884
[ Назад ]

Исходное сообщение
"Правило PF для синхронизации времени сервера"

Отправлено eax0r , 27-Авг-07 05:40 
Для синхронизации времени на сервере добавил в cron задачу:
0 2 * * * /usr/sbin/ntpdate europe.pool.ntp.org

В конфе PF Firewall добавил правило:
ext_if="bce1" # внешний интерфейс
ntp_server="europe.pool.ntp.org" # ntp сервер
pass out on $ext_if inet proto udp from $ext_if to $ntp_server port ntp
pass in on $ext_if inet proto udp from $ntp_server port ntp to $ext_if

PF разлукапил имя europe.pool.ntp.org на несколько IP адресов и добавил каждый IP как отдельное правило.
Все работало.
Недавно на mail/root стали приходитть сообщения, что ntpdate: error, Operation not permitted
Оказалось, что у europe.pool.ntp.org поменялись IP адреса.

А если опять europe.pool.ntp.org поменяет свои IP, у меня опять время перестанет синхронизироваться. Поделитесь опытом в этом вопросе?


Содержание

Сообщения в этом обсуждении
"Правило PF для синхронизации времени сервера"
Отправлено Lemegeton , 27-Авг-07 11:36 
>[оверквотинг удален]
>
>PF разлукапил имя europe.pool.ntp.org на несколько IP адресов и добавил каждый IP
>как отдельное правило.
>Все работало.
>Недавно на mail/root стали приходитть сообщения, что ntpdate: error, Operation not permitted
>
>Оказалось, что у europe.pool.ntp.org поменялись IP адреса.
>
>А если опять europe.pool.ntp.org поменяет свои IP, у меня опять время перестанет
>синхронизироваться. Поделитесь опытом в этом вопросе?

Делюсь опытом:
PF удобен своими стэйтовыми правилами, следовательно, почему нельзя разрешить весь исходящий UDP-NTP трафик и врубить стэйты?
...
block log all
...
...
pass out on $ext_if inet proto udp from $ext_if to any flags S/SA keep state
...
Проблема просто отпадает.